«Мы тратим огромные ресурсы на ритуалы, которые давно превратились в самоцель. Защита, это не про количество галочек, а про понимание, какие из них реально закрывают уязвимости, а какие лишь создают иллюзию работы.»
Сложные пароли и их бесконечная ротация
Требование создавать пароли с заглавными буквами, цифрами и спецсимволами, а затем менять их каждые 90 дней — один из самых устойчивых мифов. Эта практика уходит корнями в рекомендации, которым уже больше 15 лет. Пользователь, вынужденный постоянно придумывать и запоминать новые сложные комбинации, инстинктивно ищет обходные пути: начинает использовать шаблоны (Password1!, Password2!), записывает пароли на стикерах или в незащищённых файлах. В итоге безопасность не повышается, а снижается. Атака методом перебора или фишинг успешно обходят эту «защиту».
Современный подход смещается в сторону контроля над учётными данными, а не над их сложностью. Эффективнее внедрить менеджеры паролей, которые генерируют и хранят по-настоящему уникальные и длинные фразы. Ещё более действенный метод — повсеместное внедрение многофакторной аутентификации (MFA). Код из приложения или аппаратный ключ безопасности блокируют несанкционированный доступ, даже если пароль каким-то образом стал известен злоумышленнику. Ротация паролей должна быть не плановой, а событийной — только при подозрении на компрометацию.
Ежегодные тесты на проникновение как формальность
Многие организации воспринимают пентест как обязательную ежегодную «прививку» для отчётности перед руководством или регулятором. Заказывается у внешней компании, получается красивый отчёт с цветными графиками, критичные уязвимости закрываются, и о безопасности забывают до следующего года. Такой подход создаёт лишь моментальный снимок защищённости на конкретную дату.
Реальная ценность пентеста — не в отчёте, а в процессе. Это инструмент проверки гипотез о защите критически важных активов. Эффективнее перейти к модели непрерывного тестирования безопасности, интегрированной в циклы разработки и эксплуатации. Регулярные автоматизированные сканирования уязвимостей, упражнения красной команды, имитирующие действия реального противника, и постоянный мониторинг угроз дают гораздо более полную картину.
Главный вопрос после пентеста должен звучать не «Какие дыры мы закрыли?», а «Как злоумышленник сможет повторить эту атаку через месяц и что в нашей архитектуре или процессах позволяет это сделать?».
Избыточное документирование политик безопасности
Объёмная политика информационной безопасности, занимающая сотни страниц и написанная сложным юридическим языком, — классический пример переоценённой практики. Такой документ часто создаётся «для галочки», чтобы удовлетворить формальные требования стандарта или аудитора. Его никто не читает, а тем более не применяет в ежедневной работе. Разработчики, системные администраторы и рядовые сотрудники просто не знают, что в нём написано.
Безопасность должна быть вплетена в рабочие процессы, а не существовать в параллельной реальности документов. Вместо монолитной политики эффективнее работает набор чётких, конкретных правил, интегрированных прямо в инструменты. Например, требования к безопасной разработке можно внедрить в систему контроля версий в виде pre-commit хуков, проверяющих код на наличие уязвимостей. Правила обработки данных — в интерфейс CRM-системы в виде подсказок и блокировок.
Документация нужна, но она должна быть живой, доступной и релевантной. Короткие гайды, чек-листы и интерактивные тренинги работают лучше многостраничных мануалов.
Фокус на периметровой защите как на панацее
Традиционная модель безопасности, построенная по принципу «крепкая внешняя стена — безопасный внутренний двор», давно устарела, но продолжает доминировать в сознании многих архитекторов. Упор делается на мощные межсетевые экраны, системы обнаружения вторжений на границе сети. Предполагается, что если не пустить злоумышленника внутрь, то всё будет в порядке.
Эта модель не учитывает современные угрозы: фишинг, компрометацию учётных записей легитимных сотрудников, вредоносное ПО, занесённое с USB-носителей, и инсайдерские угрозы. Злоумышленник, однажды попав внутрь периметра, получает практически неограниченную свободу действий, потому что внутренняя сеть часто построена на принципах избыточного доверия.
Стратегия должна смещаться в сторону модели Zero Trust (недоверия по умолчанию). В её основе — принцип «никогда не доверяй, всегда проверяй». Каждый запрос к ресурсу (будь то приложение, файл или сервер) должен аутентифицироваться и авторизовываться, независимо от того, откуда он исходит — из интернета или из внутренней сети. Это реализуется через сегментацию сети, строгое управление доступом на основе ролей и непрерывную аналитику поведения пользователей и устройств.
Автоматизированные сканеры уязвимостей без контекста
Запуск сканера, получение отчёта с тысячами найденных «уязвимостей» и паническое стремление закрыть их все — путь в никуда. Многие сканеры выдают огромное количество ложноположительных срабатываний или отмечают как критичные уязвимости, которые в конкретной среде эксплуатации не могут быть использованы. Например, уязвимость в службе, закрытой от внешнего мира отдельным фаерволом.
Без понимания контекста и расстановки приоритетов команды безопасности и администрирования тонут в рутине. Ключевая метрика смещается с «закрыто 100% уязвимостей» на «закрыты уязвимости, представляющие реальный риск для бизнеса». Для этого необходима система управления уязвимостями, которая не просто собирает данные, но и обогащает их контекстом: насколько важна система для бизнеса, есть ли к ней доступ из интернета, какие данные она обрабатывает, известны ли эксплойты для этой уязвимости в дикой природе.
На основе этого контекста формируется реальный приоритет для исправления — показатель риска, а не просто уровень серьёзности уязвимости по общей шкале.
Что остаётся в силе: практики, которые не теряют ценности
На фоне переоценённых подходов выделяются методы, чья эффективность только растёт со временем. Их объединяет фокус на процессах, а не на разовых действиях.
- Управление инцидентами и налаженные процессы реагирования (IR). Неизбежно, что какая-то атака окажется успешной. Скорость и слаженность реакции определяют итоговый ущерб. Регулярные учения синей команды, отточенные playbooks и чёткое распределение ролей, это не для галочки, а для реального сокращения времени на обнаружение и устранение угрозы.
- Повышение осведомлённости сотрудников, адаптированное под реальные угрозы. Не скучные ежегодные тесты, а короткие, регулярные и релевантные тренинги. Например, симуляции целевого фишинга на отделы, работающие с финансовой информацией, с последующим разбором ошибок.
- Принцип минимальных привилегий (PoLP). Никто в системе не должен иметь больше прав, чем это необходимо для выполнения его рабочих задач. Это фундаментальный принцип, который ограничивает ущерб как от внешнего вторжения, так и от действий инсайдера.
- Резервное копирование, изолированное от основной сети, и регулярная проверка восстановления. Это последний рубеж обороны против ransomware-атак и серьёзных сбоев. Копии должны храниться так, чтобы злоумышленник не мог их удалить или зашифровать.
Смысл не в том, чтобы отказаться от всех устоявшихся практик, а в том, чтобы подвергать их сомнению. Задавать вопрос: «Для чего мы это делаем? Закрывает ли это реальную угрозу или мы просто выполняем ритуал?» Смещение фокуса с выполнения формальных требований на управление реальными рисками — единственный путь к построению устойчивой системы безопасности в современных условиях.